Een nieuwe malware-campagne gebruik te maken van gestolen digitale certificaten is ontdekt door security onderzoekers van cybersecurity firma ESET. De onderzoekers zagen de malware campagne toen een aantal van hun systemen gemarkeerd meerdere bestanden als verdacht.
Pleit Malware Met behulp van de gestolen certificaten
Het bleek dat de gemarkeerde dossiers digitaal werden ondertekend door middel van een geldig D-Link Corporation code-signing certificaat. De exacte hetzelfde certificaat was gebruikt om niet-kwaadaardige D-Link software betekent dat het certificaat meest waarschijnlijke was gestolen ondertekenen, aldus de onderzoekers in hun rapport.
Hebben bevestigd kwaadaardige aard van het bestand, We gemeld bij D-Link, die hun eigen onderzoek gestart naar de zaak. Dientengevolge, de gecompromitteerde digitale certificaat is ingetrokken door D-Link on July 3, 2018.
De analyse toonde aan dat er twee verschillende malware families misbruik maken van het certificaat - pleiten malware dat is een op afstand bestuurbaar backdoor, en een betreffend wachtwoord stelen component. Volgens de onderzoekers van TrendMicro, het pleiten achterdeur wordt gebruikt door een cyberspionage groep die als BlackTech.
Samen met de Pleit malware samples ondertekend met de gestolen D-Link certificaat, monsters via een certificaat ondertekend door een Taiwanese beveiligingsbedrijf, Veranderen van Information Technology Inc, zijn ook ontdekt. Het lijkt erop dat de BlackTech hackers nog steeds met behulp van het certificaat ook al was ingetrokken juli 4, 2017, een jaar geleden.
De mogelijkheid om een aantal Taiwan-based technologie bedrijven hun certificaten voor ondertekening in toekomstige aanvallen beschadigen en opnieuw blijkt dat deze groep hoogopgeleide en gericht op dat gebied, de onderzoekers opgemerkt.
het zou genoteerd moeten worden dat “de ondertekende Pleit malware samples zijn sterk versluierd met junk code, maar het doel van de malware is vergelijkbaar in alle monsters: het downloaden van een externe server of is geopend van de lokale schijf een kleine versleutelde binaire blob“. De binaire blob bevat versleutelde commandoregelcode, dat dient om de uiteindelijke Pleit achterdeur module downloaden.
Wat betreft de het wachtwoord stealer component, Het wordt specifiek gebruikt om de oogst wachtwoorden van de volgende lijst van populaire toepassingen gered:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Gestolen Certificaten in Malware Distribution Nog steeds een Trend
Vorig jaar onderzoekers van Venafi ontdekt dat de illegale handel in digitale code signing certificaten werd bloeiende. De certificaten worden meestal gebruikt om software producten te controleren, staving van hun status als legitiem. Als gecompromitteerd, deze certificaten kunnen worden ingezet om malware op apparaten en netwerken te installeren zonder te worden ontdekt.
Het bewijs dat er nu een belangrijke criminele markt voor certificaten gooit ons hele authenticatie systeem voor het internet in twijfel en wijst op een dringende behoefte aan de inzet van IT-systemen om misbruik van digitale certificaten tegen te gaan, onderzoekers zei.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: